VMware’in vRealize Log Insight platformunu etkileyen üç güvenlik açığı, artık siber suçluların onları silah haline getirmek için takip edebilecekleri bir harita sunan, halka açık açıklardan yararlanma kodunun dolaşımına sahip. Bunlar, iki kritik kimliği doğrulanmamış uzaktan kod yürütme (RCE) hatasını içerir.
VMware’e göre, adını Aria Operations olarak değiştiren vRealize Log Insight platformu, “her ortamdaki altyapı ve uygulamalar için” akıllı günlük yönetimi sağlıyor ve BT departmanlarının fiziksel, sanal ve üçüncü taraf genişletilebilirlik dahil olmak üzere bulut ortamları. Genellikle bir cihaza yüklenen platform, bir kuruluşun BT ayak izinin en hassas alanlarına yüksek düzeyde ayrıcalıklı erişime sahip olabilir.
Horizon.ai araştırmacısı James Horseman, “Log Insight ana bilgisayarına erişim elde etmek, onunla entegre olan uygulamaların türüne bağlı olarak bir saldırgana bazı ilginç olanaklar sağlıyor” dedi. derin dalış bu hafta genel yararlanma koduna girdi. “Genellikle, alınan günlükler diğer hizmetlerden hassas veriler içerebilir ve bir saldırının oturum belirteçlerini, API anahtarlarını ve kişisel olarak tanımlanabilir bilgileri toplamasına izin verebilir. Bu anahtarlar ve oturumlar, saldırganın diğer sistemlere dönmesine ve ortamı daha fazla tehlikeye atmasına izin verebilir.”
Trend Micro’nun güvenlik açıklarını bildiren Zero Day Initiative’de (ZDI) tehdit farkındalığı başkanı Dustin Childs, özellikle açıklardan yararlanmanın önündeki engelin – diğer bir deyişle erişim karmaşıklığının – düşük olması nedeniyle, kuruluşların riski dikkate alması gerektiğini söylüyor.
Dark Reading’e “Bu araçla merkezi günlük yönetimi yapıyorsanız, bu, kuruluşunuz için önemli bir risk teşkil ediyor” diyor. “Yamayı VMware’den mümkün olan en kısa sürede test etmenizi ve dağıtmanızı öneririz.”
VMware vRealize Log Insight Hatalarının İçinde
İki kritik sorun, CVSS ölçeğinde 10 üzerinden 9,8 önem puanı taşıyor ve “kimliği doğrulanmamış, kötü niyetli bir aktörün, etkilenen bir cihazın işletim sistemine dosyaları enjekte etmesine ve bu da uzaktan kod yürütülmesine neden olabilir”. orijinal VMware danışmanlığı.
Bir (CVE-2022-31706) bir dizin geçişi güvenlik açığıdır; diğeri (CVE-2022-31704) bozuk bir erişim denetimi güvenlik açığıdır.
Üçüncü kusur, yüksek önem dereceli bir seri durumdan çıkarma güvenlik açığıdır (CVE-2022-31710CVSS 7.5), kimliği doğrulanmamış kötü niyetli bir aktörün “güvenilmeyen verilerin serisini kaldırma işlemini uzaktan tetiklemesine ve bu da hizmet reddine neden olabilir.”
Tam Devralma için Hata Zinciri Oluşturma
Horizon.ai araştırmacıları, vahşi ortamda istismar kodunu belirledikten sonra, üç sorunun birbirine zincirlenebileceğini keşfetti ve VMware’in bugün danışma kılavuzunu güncellemesini istedi.
“Bu [combined] güvenlik açığı [chain] istismar edilmesi kolaydır; ancak, saldırganın kötü amaçlı yüklere hizmet vermesi için bazı altyapı kurulumlarına sahip olması gerekir” diye yazdı Horseman. “Bu güvenlik açığı, kök olarak uzaktan kod yürütülmesine izin verir ve esasen bir saldırgana sistem üzerinde tam kontrol sağlar.”
Bununla birlikte, bir umut ışığı sundu: Ürün, dahili bir ağda kullanılmak üzere tasarlanmıştır; Shodan verilerinin, internette halka açık olarak ifşa edilen cihazların 45 örneğini ortaya çıkardığını kaydetti.
Ancak bu, zincirin içeriden kullanılamayacağı anlamına gelmez.
“Bu ürünün İnternet’e maruz kalması pek olası olmadığından, saldırgan muhtemelen ağda başka bir yerde bir dayanak noktası oluşturmuştur” dedi. “Bir kullanıcı güvenliğinin ihlal edildiğini belirlerse, bir saldırganın verdiği zararı belirlemek için ek araştırma yapılması gerekir.”
Üç hata ilk olarak geçen hafta sanallaştırma devi tarafından orta önemde bir bilgi açıklama hatası (CVE-2022-31711, CVSS 5.3), kimlik doğrulama olmadan veri toplamaya izin verebilir. İkincisi henüz herkese açık bir istismar koduna sahip değil, ancak bu, özellikle hedef VMware tekliflerinin siber suçlular için ne kadar popüler olduğu göz önüne alındığında hızla değişebilir.
Yakında diğer sorunlardan da yararlanmanın birden fazla yolu olabilir. ZDI’dan Childs, “Güvenlik açıklarını göstermek için kavram kanıtı kodumuz var” diyor. “Başkaları bir istismarı kısa sürede çözerse şaşırmayacağız.”
Kuruluş Nasıl Korunur?
Kuruluşlarını korumak için yöneticilerden VMware’in yamalarını uygulamaları veya bir yayınlanan geçici çözüm mümkün olan en kısa sürede. Horizon.ai ayrıca kuruluşların herhangi bir saldırıyı izlemesine yardımcı olmak için uzlaşma göstergeleri (IoC’ler) yayınladı.
Ayrıca, “merkezi günlük yönetimi için vRealize veya Aria Operations kullanıyorsanız, o sistemin ne tür teşhire sahip olduğunu kontrol etmeniz gerekir” diye tavsiyede bulunuyor Childs. “İnternet’e bağlı mı? Platforma kimlerin erişebileceğine ilişkin IP kısıtlamaları var mı? Bunlar, ilk adımınız olması gereken yama uygulamalarının ötesinde göz önünde bulundurulması gereken ek öğelerdir. Saldırganların bir yer edinmesi için hedef.”